不論是何種規模的企業，都面臨相同的安全問題：如何保護個人信息不被入侵者竊取。盡管如此，大部分的企業都在犯同樣的錯誤。John McCormick詳細介紹了大企業和小企業都會犯的五大安防錯誤。

　　個人使用的單個工作站，只有兩三臺電腦，通過高速網線調制解調器上網的小公司，擁有安全部門的企業網絡：無論企業的規模大小，他們都需要應對如何保護個人信息不被盜取的安全問題。

　　很不幸，擔負著安全問題的人們都在犯著同樣的基本錯誤，我列出五個不論中小企業都會犯的嚴重錯誤。

1.安全規定執行不力

首當其沖的第一個錯誤就是未能制訂妥善的安全規定，沒有對所有使用計算機的人員進行培訓，而且對制訂好的規定執行越來越松。

人們總是更關注自己應該得到的東西而不留意自己被禁止做什么。所以，如果你的企業希望很好的解決安全問題，就必須建立一套清晰嚴謹的安全政策。在這些政策中必須對一些基本的使用規則做出規定，比如不要打開不熟悉的郵件，不要出于個人目的上網瀏覽，不要從網上下載文件等等。

其實多年以來安全專家一直在說這個問題，但為什么還是沒起作用？道理很簡單：盡管早有政策，但是對于違規者并沒有什么嚴重的處罰，而執行政策的人也沒有任何獎勵。

　　有很少幾家企業，比如哈佛醫學院，貝絲以色列女執事醫院就規定，任何級別的人只要違反了一條安全規定就會被開除。除了這種極端少見的做法，也只有少數的機構會建立積分制度對遵守規定的人給予獎勵。

我們可以想象如果對安全記錄最好的雇員以重大的獎勵會給公司安全帶來什么樣的影響。舉例來說，每個人一開始都有100點，不論是否給公司帶來實際的危險和損失，每違反規定一次都會被扣掉一分。

制定的安全政策不應僅僅停留在紙面上，更應該激勵員工去執行它，這樣才能長期的幫助企業提高安全性。

2.對新漏洞的忽視

五大錯誤的第二名是當新漏洞產生時沒有采取相應的措施。

大部分安全部門經理都會自動收到新補丁的通知，或者他們會留意至少一個安全網站的最新消息。很多人曾經訂閱IT Locksmith這樣的安全通訊來濾掉雜亂信息直接獲得最重要的信息。

盡管獲得信息的方式如此簡單，許多人甚至懶得去讀他們訂閱的通訊。當然也就只有更少的人會真的按照獲得的消息去調整策略或者進行升級。

3. 對科技過于依賴

另一個重大錯誤是過度依賴技術修復的能力以及對于工具的實際運用關注太少。

如果你對領導說你已裝好了頂級殺毒軟件或者最新的防火墻，他們就會認為你完成了工作。但實際上，如果防火墻沒有正確配置，防病毒軟件也沒有進行維護，有跟沒有是一樣。

在特定環境下正確設置防火墻需要很高的技巧。它不是一項設置完就可以丟到腦后的工作，它要比安裝殺病毒軟件清除惡意軟件復雜得多。防火墻需要經常調整以滿足最新的要求，當一個新的端口掃描攻擊出現時，必須在幾周內阻斷會受其影響的那些端口。

問題又回到前面的第二個重大錯誤，人們必須在新的升級和漏洞出現時就給予注意。比如，了解最容易被攻擊的10個端口，把計算機安全組織SANS的網頁加入收藏夾。對于防病毒程序，不僅僅要及時升級，還必須要留意最新的彌補反病毒軟件自身缺陷的補丁。

反間諜軟件要比反病毒軟件簡單得多，所以很少需要打補丁。盡管如此，它們也要和反病毒軟件一樣要注意經常下載最新的數據庫文件。

最后不要忘記，如果忽視安全檢測程序發出的報告，所有的安全裝置都會失去意義。

4.未能全面考察應聘人員

第四大錯誤在于未能全面考察應聘者的犯罪記錄或財務決策失誤等，特別是那些IT部門以外的應聘人。

在美國個人隱私被認為是最重要的基本個人權利，他們比較尊重別人的隱私權，所以在招聘過程中一般不愿意考察應聘人員的背景情況。最近一期IT Locksmith就討論了用某人的財務歷史來判斷他或者她是否可靠的方式是否合理的問題。

盡管有許多讀者質疑了這個方法，但是出于兩點原因，這一方法正在被企業廣泛運用。首先，如果一個人在自己的財務問題上粗心大意，那他在保護公司財產上又能有多認真呢？其次，如果某人面臨財務壓力，他或者她更容易因外界壓力而做出危害公司安全的行為。

無論是因為計劃不善還是沒有控制好自己的沖動，亦或僅僅是由于粗心大意，不論如何解釋，破產經歷都是一個紅色警告。這也許很悲哀，也許很不幸，但這是最常用的做法，因為這很有效。

5.對技術能力期望太多

第五大錯誤是在制定安全計劃時過分的信任IT員工的技術能力。

在挑選安全部門負責人時，大部分經理考慮到網絡和軟件的復雜程度，會認為技術能力最強的人就是最合適的人選。其實，除了必需的技術知識，安全直覺和偏執對于安全工作更為重要，它可以保證IT部門工作人員都具有軟硬件安全技術相關的知識和技巧。

我擁有很強的與大學安全政策部門合作的安全背景和偵探社工作經歷，我經常在某家公司轉一圈，就會發現十幾個致命的安全問題，任何一個錯誤都可使最好的軟件安全措施完全失去作用。如果我想危害某家企業的IT安全，我要么會去清潔公司謀個職位，或者弄套假冒的UPS或FedEx制服。我會背著個大包走進公司然后把我要的東西塞進大包再背出公司。你的公司也可能遭到這樣的攻擊么？